當(dāng)前，企業(yè)IT環(huán)境極其復(fù)雜，云服務(wù)、物聯(lián)網(wǎng)設(shè)備等的廣泛應(yīng)用，使得企業(yè)的網(wǎng)絡(luò)邊界模糊，攻擊面不斷擴(kuò)大。與此同時(shí)，網(wǎng)絡(luò)攻擊手段不斷升級(jí)，組織正面臨著日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅和日益嚴(yán)格的安全監(jiān)管與合規(guī)要求，傳統(tǒng)安全運(yùn)營(yíng)已經(jīng)力不從心，推動(dòng)安全運(yùn)營(yíng)向更智能、更主動(dòng)、更高效的方向發(fā)展。

傳統(tǒng)SOC的挑戰(zhàn)

安全運(yùn)營(yíng)管理主要結(jié)合技術(shù)、流程和人員等能力，傳統(tǒng)SOC主要通過人工進(jìn)行技術(shù)處理、手動(dòng)處理流程或獨(dú)立的工單系統(tǒng)、各級(jí)分析師人工分析，實(shí)現(xiàn)對(duì)安全威脅的檢測(cè)分析和事件響應(yīng)，滿足組織對(duì)安全風(fēng)險(xiǎn)管控的要求。然而，日益復(fù)雜和不斷更新的安全威脅對(duì)安全運(yùn)營(yíng)能力提出更高的要求，傳統(tǒng)SOC無法應(yīng)對(duì)。

傳統(tǒng)SOC的挑戰(zhàn)

具體主要的挑戰(zhàn)包括：

1. 人工處理面臨效率低、響應(yīng)慢、工作量大等挑戰(zhàn)

傳統(tǒng)SOC團(tuán)隊(duì)在人工處理安全事件時(shí)面臨諸多挑戰(zhàn)，嚴(yán)重影響了安全運(yùn)營(yíng)的效率和效果。首先，海量數(shù)據(jù)處理存在明顯局限性。傳統(tǒng)SOC依賴安全設(shè)備產(chǎn)生的告警，但這些告警中存在大量誤報(bào)，導(dǎo)致安全分析人員疲于奔命，難以從中準(zhǔn)確識(shí)別出真正的威脅，從而降低了安全運(yùn)營(yíng)的整體效率，無法滿足對(duì)真正威脅的快速響應(yīng)需求。其次，人工響應(yīng)速度慢且效率低下。傳統(tǒng)SOC主要依靠人工進(jìn)行安全事件的響應(yīng)，這種方式難以滿足快速響應(yīng)的要求，導(dǎo)致安全事件的影響范圍擴(kuò)大，進(jìn)而造成更大的損失。此外，安全人員數(shù)量不足也是一個(gè)突出問題。傳統(tǒng)SOC的安全運(yùn)營(yíng)高度依賴安全專家的經(jīng)驗(yàn)，對(duì)人員的技能要求很高，且難以形成統(tǒng)一的標(biāo)準(zhǔn)，這使得安全運(yùn)營(yíng)水平參差不齊，難以保證安全運(yùn)營(yíng)的整體質(zhì)量。

2.  安全數(shù)據(jù)面臨統(tǒng)計(jì)分析的挑戰(zhàn)

傳統(tǒng)SOC在應(yīng)對(duì)安全數(shù)據(jù)爆炸式增長(zhǎng)時(shí)面臨諸多挑戰(zhàn)。首先，數(shù)據(jù)孤島問題嚴(yán)重，不同安全設(shè)備和系統(tǒng)產(chǎn)生的數(shù)據(jù)分散在各個(gè)平臺(tái)，難以進(jìn)行統(tǒng)一分析和利用。其次，有效數(shù)據(jù)提取困難，安全數(shù)據(jù)中存在大量噪聲和無關(guān)信息，從海量數(shù)據(jù)中提取有價(jià)值信息成為一大挑戰(zhàn)。此外，傳統(tǒng)SOC的數(shù)據(jù)處理能力不足，主要依靠人工分析或基于關(guān)系型數(shù)據(jù)庫的SIEM平臺(tái)，難以應(yīng)對(duì)海量數(shù)據(jù)，導(dǎo)致安全分析效率低下，無法及時(shí)發(fā)現(xiàn)威脅。最后，傳統(tǒng)SOC缺乏有效的數(shù)據(jù)關(guān)聯(lián)分析能力，難以從海量數(shù)據(jù)中發(fā)現(xiàn)隱藏的關(guān)聯(lián)關(guān)系和攻擊模式，無法識(shí)別復(fù)雜攻擊事件，難以進(jìn)行攻擊溯源。 

3. 面臨網(wǎng)絡(luò)安全威脅復(fù)雜化的挑戰(zhàn)

傳統(tǒng)SOC在應(yīng)對(duì)復(fù)雜安全威脅時(shí)存在明顯不足。首先，高級(jí)威脅檢測(cè)能力不足，傳統(tǒng)安全設(shè)備依賴規(guī)則和簽名檢測(cè)，難以識(shí)別APT攻擊、0day漏洞利用、無文件攻擊等高級(jí)威脅，導(dǎo)致組織無法及時(shí)發(fā)現(xiàn)這些威脅，容易遭受攻擊，進(jìn)而引發(fā)數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。其次，威脅情報(bào)缺乏有效利用，傳統(tǒng)SOC要么無法充分利用威脅情報(bào)，要么僅能進(jìn)行簡(jiǎn)單的IOC比對(duì)，難以深入理解威脅情報(bào)背后的脈絡(luò)信息，無法識(shí)別復(fù)雜攻擊事件，也無法進(jìn)行攻擊溯源和攻擊者畫像，難以全面了解攻擊者的意圖和攻擊手段，從而無法進(jìn)行有效防御。此外，傳統(tǒng)SOC缺乏針對(duì)內(nèi)部威脅的有效檢測(cè)手段，主要關(guān)注外部攻擊，而對(duì)內(nèi)部威脅（如惡意內(nèi)部人員、被盜用的賬戶等）的檢測(cè)能力不足，內(nèi)部威脅往往能夠繞過傳統(tǒng)安全控制措施，造成更大的威脅，導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)破壞等嚴(yán)重后果。最后，攻擊溯源和取證困難，高級(jí)攻擊潛伏時(shí)間長(zhǎng)，攻擊者會(huì)采取各種手段掩蓋攻擊痕跡，使得安全事件的溯源和取證變得非常困難。

4. 安全面臨業(yè)務(wù)發(fā)展的挑戰(zhàn)

在業(yè)務(wù)快速迭代的行業(yè)，安全面臨著難以跟上業(yè)務(wù)更新速度的挑戰(zhàn)。同時(shí)，隨著組織上云和數(shù)字化轉(zhuǎn)型的推進(jìn)，新的安全挑戰(zhàn)不斷涌現(xiàn)，例如云安全、數(shù)據(jù)安全和隱私保護(hù)等。此外，安全部門常被視為成本中心，其對(duì)業(yè)務(wù)的價(jià)值貢獻(xiàn)難以體現(xiàn)。

SOC安全運(yùn)營(yíng)業(yè)務(wù)的演變

SOC正面臨業(yè)務(wù)范圍的擴(kuò)展和技術(shù)進(jìn)步支撐的能力升級(jí)，業(yè)務(wù)需求驅(qū)動(dòng)了技術(shù)發(fā)展，技術(shù)的進(jìn)步支撐了業(yè)務(wù)擴(kuò)展。

SOC業(yè)務(wù)范圍正在從事件研判分析、響應(yīng)調(diào)查，向全面風(fēng)險(xiǎn)管理、運(yùn)營(yíng)量化管理等領(lǐng)域延伸。 

SOC的業(yè)務(wù)范圍擴(kuò)展

SOC的能力從單點(diǎn)防御到合規(guī)驅(qū)動(dòng)，再到實(shí)戰(zhàn)驅(qū)動(dòng)，走向數(shù)據(jù)驅(qū)動(dòng)、AI賦能的智能化階段。

SOC的能力升級(jí)

第一階段：?jiǎn)吸c(diǎn)防御階段（2007年前）

隨著互聯(lián)網(wǎng)的初步發(fā)展，早期安全威脅主要以病毒、蠕蟲等為主，組織安全防護(hù)意識(shí)薄弱，主要依靠部署防火墻、殺毒軟件等單點(diǎn)安全產(chǎn)品進(jìn)行防御，安全運(yùn)營(yíng)以事件驅(qū)動(dòng)、人工分析為主，難以應(yīng)對(duì)規(guī)?；?。階段特點(diǎn)：

• 單點(diǎn)防御，事件驅(qū)動(dòng)：主要依靠單一安全產(chǎn)品（如防火墻、殺毒軟件、IDS）進(jìn)行點(diǎn)狀防御，缺乏整體的安全防護(hù)體系。安全運(yùn)營(yíng)主要以監(jiān)控響應(yīng)為主，針對(duì)單一安全事件進(jìn)行處置，缺乏對(duì)安全事件的關(guān)聯(lián)分析和深入排查。
• 關(guān)注具體威脅：主要關(guān)注惡意軟件（如病毒、蠕蟲）和單點(diǎn)網(wǎng)絡(luò)事件（如端口掃描、DoS攻擊），對(duì)攻擊的整體性和關(guān)聯(lián)性關(guān)注不足。

第二階段：合規(guī)驅(qū)動(dòng)的安全運(yùn)營(yíng)（2007—2015年）

隨著網(wǎng)絡(luò)攻擊的復(fù)雜化和規(guī)模化，以及各國(guó)安全法規(guī)和標(biāo)準(zhǔn)的流行，組織開始重視安全合規(guī)性，大量采購和堆疊安全產(chǎn)品，SIEM平臺(tái)開始出現(xiàn)，但產(chǎn)品間缺乏聯(lián)動(dòng)，“噪音”驟增，難以應(yīng)對(duì)高級(jí)威脅。階段特點(diǎn)：

• 安全產(chǎn)品堆疊：組織開始大量部署各種安全產(chǎn)品，例如防火墻、IDS/IPS、WAF、防病毒軟件、VPN等，但這些產(chǎn)品往往缺乏有效的集成和聯(lián)動(dòng)，形成“安全孤島”。
• 合規(guī)驅(qū)動(dòng)：安全建設(shè)的主要驅(qū)動(dòng)力是滿足各種安全法規(guī)和標(biāo)準(zhǔn)的要求，例如等級(jí)保護(hù)制度等。
• “噪音”急劇增加：各種安全設(shè)備產(chǎn)生大量的相關(guān)信息，其中大部分是誤報(bào)，安全分析師難以全面識(shí)別出真正的威脅，導(dǎo)致告警疲勞。

第三階段：實(shí)戰(zhàn)驅(qū)動(dòng)的安全運(yùn)營(yíng)（2015年左右至2022年左右）

APT攻擊、0-day漏洞攻擊等高級(jí)威脅悄然來臨，組織安全建設(shè)開始轉(zhuǎn)向?qū)崙?zhàn)驅(qū)動(dòng)，關(guān)注安全運(yùn)營(yíng)的實(shí)際效果，SOAR、UEBA等技術(shù)興起，安全運(yùn)營(yíng)開始向主動(dòng)防御轉(zhuǎn)變，但仍然高度依賴安全專家的經(jīng)驗(yàn)。階段特點(diǎn)：

• 關(guān)注實(shí)戰(zhàn)效果：組織開始關(guān)注安全運(yùn)營(yíng)的實(shí)際效果，而不僅僅是滿足合規(guī)性要求。安全建設(shè)從合規(guī)驅(qū)動(dòng)轉(zhuǎn)向?qū)崙?zhàn)驅(qū)動(dòng)；主動(dòng)防御：組織開始重視主動(dòng)防御，例如威脅情報(bào)、威脅狩獵、欺騙防御等；
• 安全能力的整合：出現(xiàn)XDR等新的安全概念，嘗試整合各個(gè)安全產(chǎn)品能力，形成統(tǒng)一的安全防御體系。

第四階段：數(shù)據(jù)驅(qū)動(dòng)、AI賦能的智能安全運(yùn)營(yíng)（2022年至今）

隨著人工智能技術(shù)的快速發(fā)展和安全大數(shù)據(jù)應(yīng)用的成熟，安全運(yùn)營(yíng)進(jìn)入高效階段，ISOC通過數(shù)據(jù)驅(qū)動(dòng)和人工智能賦能，實(shí)現(xiàn)威脅檢測(cè)、事件分析、響應(yīng)處置、威脅狩獵等階段的智能化和自動(dòng)化，構(gòu)建人機(jī)協(xié)同、持續(xù)漸進(jìn)的主動(dòng)防御體系，更好地應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)安全威脅。階段特點(diǎn)：

• 數(shù)據(jù)驅(qū)動(dòng)：以數(shù)據(jù)為核心，構(gòu)建安全數(shù)據(jù)湖，為安全分析提供全面的數(shù)據(jù)支撐；
• AI賦能：廣泛應(yīng)用AI技術(shù)提升安全運(yùn)營(yíng)的智能化水平。AI智能體作為ISOC的“智慧大腦”，協(xié)調(diào)各個(gè)安全平臺(tái)，提供智能化的決策支持；
• 自動(dòng)化：實(shí)現(xiàn)安全運(yùn)營(yíng)流程的自動(dòng)化；
• 關(guān)注效果和效率：不僅關(guān)注安全防護(hù)的效果，還關(guān)注安全運(yùn)營(yíng)的效率和成本；量化管理：建立量化的安全指標(biāo)，對(duì)安全運(yùn)營(yíng)體系的效果進(jìn)行量化和評(píng)估。

ISOC的理念

智能安全運(yùn)營(yíng)中心（Intelligentization Security Operations Center，簡(jiǎn)稱ISOC）的核心理念是數(shù)據(jù)驅(qū)動(dòng)和人工智能雙引擎，構(gòu)建人機(jī)協(xié)同、持續(xù)進(jìn)化的主動(dòng)防御體系，目標(biāo)是運(yùn)營(yíng)的自動(dòng)化、智能化和自適應(yīng)，最終實(shí)現(xiàn)安全運(yùn)營(yíng)與業(yè)務(wù)目標(biāo)的深度融合。

圖片

ISOC的理念示意圖 

1.ISOC的主要特點(diǎn)

• 更廣泛和深入的數(shù)據(jù)采集能力：ISOC集成更多的數(shù)據(jù)源，除了安全設(shè)備，還包括用戶行為、業(yè)務(wù)數(shù)據(jù)等，可以為事件提供更全面的數(shù)據(jù)；
• 更智能的威脅檢測(cè)能力：ISOC應(yīng)用AI技術(shù)，提升威脅檢測(cè)的準(zhǔn)確性（減少誤報(bào)和漏報(bào)），發(fā)現(xiàn)未知威脅；
• 更自動(dòng)化的事件響應(yīng)：SOAR和AI智能體可以自動(dòng)執(zhí)行響應(yīng)操作，縮短響應(yīng)時(shí)間；
• 更強(qiáng)大的數(shù)據(jù)分析能力：大數(shù)據(jù)分析結(jié)合AI模型，可以對(duì)海量數(shù)據(jù)進(jìn)行分析，提供更深入的分析報(bào)告；
• 更主動(dòng)的防御能力：威脅情報(bào)應(yīng)用、人工智能預(yù)測(cè)、威脅狩獵等能力，實(shí)現(xiàn)從事后響應(yīng)到事前防御；
• 更高效的人機(jī)協(xié)同：AI輔助分析決策，安全分析師可以更專注于復(fù)雜威脅研判和調(diào)查；
• 更持續(xù)的優(yōu)化能力：利用AI模型的自學(xué)習(xí)和持續(xù)優(yōu)化能力，可以實(shí)現(xiàn)安全運(yùn)營(yíng)體系的持續(xù)進(jìn)化。

2.ISOC的主要目標(biāo)

• 提高安全運(yùn)營(yíng)效率：利用人工智能驅(qū)動(dòng)的威脅檢測(cè)和智能化響應(yīng)，縮短威脅檢測(cè)時(shí)間（MTTD）和響應(yīng)時(shí)間（MTTR），減少安全分析師的工作負(fù)擔(dān)，提高安全運(yùn)營(yíng)的整體效率；
• 降低安全運(yùn)營(yíng)成本：通過智能化和自動(dòng)化，減少對(duì)安全專家的依賴，降低人力成本；通過更精準(zhǔn)的威脅檢測(cè)和響應(yīng)，減少安全事件造成的損失；
• 增強(qiáng)威脅檢測(cè)和響應(yīng)能力：利用AI技術(shù)檢測(cè)未知威脅、高級(jí)威脅和異常行為，提高威脅檢測(cè)的準(zhǔn)確率和覆蓋范圍；利用SOAR平臺(tái)和AI智能體實(shí)現(xiàn)安全事件的快速響應(yīng)和處置；
• 構(gòu)建主動(dòng)防御體系：利用威脅情報(bào)、人工智能預(yù)測(cè)、威脅狩獵等技術(shù)，開展事后響應(yīng)轉(zhuǎn)向事前預(yù)防，實(shí)現(xiàn)主動(dòng)防御；
• 實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的安全決策：利用AI技術(shù)對(duì)安全數(shù)據(jù)進(jìn)行深度分析，為安全決策提供數(shù)據(jù)支撐，使安全決策更科學(xué)、更準(zhǔn)確；
• 實(shí)現(xiàn)安全投資價(jià)值最大化：通過更高效的安全運(yùn)營(yíng)，減少安全事件造成的損失，提高安全投資的回報(bào)率。

ISOC的必要性

ISOC的必要性體現(xiàn)在能夠解決傳統(tǒng)安全運(yùn)營(yíng)的痛點(diǎn)，并在提高安全運(yùn)營(yíng)效率、降低運(yùn)營(yíng)成本的同時(shí)，提升應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全威脅的能力，并最終實(shí)現(xiàn)業(yè)務(wù)的安全、穩(wěn)定運(yùn)行。

圖片智能安全運(yùn)營(yíng)中心的必要性

具體體現(xiàn)在以下幾個(gè)方面：

1.提升安全運(yùn)營(yíng)的效率和效果

ISOC能夠?qū)崿F(xiàn)安全運(yùn)營(yíng)的自動(dòng)化、智能化和協(xié)同化，提高安全運(yùn)營(yíng)的整體效率和效果?？s短威脅研判時(shí)間，降低誤報(bào)率，提升安全事件處置效率，減少人工干預(yù)。實(shí)現(xiàn)通過量化指標(biāo)體系，實(shí)現(xiàn)對(duì)安全運(yùn)營(yíng)效果的全面評(píng)估和持續(xù)改進(jìn)，確保安全投入回報(bào)的最大化。

2.應(yīng)對(duì)日益復(fù)雜的安全威脅

安全威脅的復(fù)雜性和多樣性不斷提升，高級(jí)持續(xù)性威脅（APT）攻擊手段不斷升級(jí)，傳統(tǒng)的安全防御手段難以有效應(yīng)對(duì)。ISOC能夠整合多源異構(gòu)的安全數(shù)據(jù)，利用大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、人工智能等技術(shù)，實(shí)現(xiàn)對(duì)安全威脅的全面感知和精準(zhǔn)識(shí)別。實(shí)現(xiàn)深度融合AI技術(shù)與安全運(yùn)營(yíng)，打造智能化安全運(yùn)營(yíng)中心，實(shí)現(xiàn)降本增效。

3.解決安全運(yùn)營(yíng)的痛點(diǎn)

傳統(tǒng)安全運(yùn)營(yíng)面臨告警數(shù)量大、誤報(bào)率高、安全事件響應(yīng)周期長(zhǎng)、安全運(yùn)營(yíng)人員專業(yè)能力要求高等問題。ISOC能夠降低誤報(bào)率，提高告警準(zhǔn)確性，加快安全事件響應(yīng)速度，減輕安全運(yùn)營(yíng)人員工作負(fù)擔(dān)。通過自動(dòng)化編排，實(shí)現(xiàn)由手工模式轉(zhuǎn)為自動(dòng)化模式，以提高網(wǎng)絡(luò)安全事件處置效率。

4.滿足合規(guī)性要求

隨著網(wǎng)絡(luò)安全法律法規(guī)的日益完善，組織需要滿足各種合規(guī)性要求。ISOC能夠幫助組織梳理安全流程，建立安全制度，滿足等保、GDPR等合規(guī)性要求，確保安全建設(shè)符合合規(guī)標(biāo)準(zhǔn)。

5.實(shí)現(xiàn)全方位的安全防護(hù)

傳統(tǒng)安全防護(hù)手段難以覆蓋云安全、數(shù)據(jù)安全、供應(yīng)鏈安全等新興領(lǐng)域。ISOC能夠擴(kuò)展業(yè)務(wù)范圍，將這些新興領(lǐng)域納入安全運(yùn)營(yíng)，實(shí)現(xiàn)全方位的安全防護(hù)，構(gòu)建更為開放的安全生態(tài)，積極引入全球更多權(quán)威威脅情報(bào)源和合作伙伴，構(gòu)建全生態(tài)協(xié)同作戰(zhàn)平臺(tái)。